Deutsch
Deutsch
In der PHP -Entwicklung ist die Datenbankverbindung ein grundlegender und kritischer Link. Eine effiziente und sichere Datenbankverbindungsklasse kann nicht nur den Entwicklungsprozess vereinfachen, sondern auch Sicherheitsrisiken wie die SQL -Injektion effektiv verhindern. In diesem Artikel wird eingeführt, wie Sie eine Secure Connect () -Funktion einkapseln und eine Datenbankverbindungsmethode implementieren, die die SQL -Injektion verhindert.
Obwohl es zweckmäßig ist, native mySQLI_Connect () oder PDO direkt zu verwenden, um eine Verbindung zur Datenbank herzustellen, ist der Code leicht zu wiederholen und schwer zu warten. Durch objektorientierte Kapselung kann sie implementiert werden:
Unified Management der Datenbankverbindungskonfiguration
Verbesserung der Wiederverwendbarkeit des Codes
Zentral behandeln Ausnahmen und Fehler
Verhindern Sie die SQL -Injektion mit Vorverarbeitungsanweisungen
Es wird empfohlen, PDO (PHP -Datenobjekte) als Datenbankverbindungsschnittstelle in PHP aus Gründen zu verwenden:
Unterstützt mehrere Datenbanken und verfügt über eine hohe Code -Portabilität
Eingebaute Vorverarbeitungsanweisungen zur Verhinderung der SQL-Injektion
Perfekter Ausnahmebehörigkeitsmechanismus
<?php
class Database {
private $host = 'localhost';
private $dbname = 'testdb';
private $username = 'root';
private $password = 'password';
private $pdo;
private $error;
// Konstruktor,Initialisieren Sie die Verbindung
public function __construct() {
$dsn = "mysql:host={$this->host};dbname={$this->dbname};charset=utf8mb4";
$options = [
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION, // Wirf eine Ausnahme
PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC, // Standard assoziatives Array
PDO::ATTR_EMULATE_PREPARES => false, // Simulationsvorverarbeitung deaktivieren,Verwenden der nativen Vorverarbeitung
];
try {
$this->pdo = new PDO($dsn, $this->username, $this->password, $options);
} catch (PDOException $e) {
$this->error = $e->getMessage();
// Protokoll- oder Prozessfehler
die("Die Datenbankverbindung ist fehlgeschlagen: " . $this->error);
}
}
// Einheitliche Ausführung der Abfrage(SELECT)
public function query($sql, $params = []) {
$stmt = $this->pdo->prepare($sql);
$stmt->execute($params);
return $stmt->fetchAll();
}
// Einheitliche Ausführung von Addition, Löschung und Änderung(INSERT/UPDATE/DELETE)
public function execute($sql, $params = []) {
$stmt = $this->pdo->prepare($sql);
return $stmt->execute($params);
}
// Holen Sie sich den letzten EinsatzID
public function lastInsertId() {
return $this->pdo->lastInsertId();
}
}
?>
<?php
$db = new Database();
// Beispiel für Sicherheitsanfragen:verhindern SQL Injektion
$userId = 123;
$result = $db->query("SELECT * FROM users WHERE id = :id", ['id' => $userId]);
// Sicheres Beispiel Beispiel
$name = 'Zhang San';
$email = 'zhangsan@m66.net';
$insertSql = "INSERT INTO users (name, email) VALUES (:name, :email)";
$db->execute($insertSql, ['name' => $name, 'email' => $email]);
?>
Unter Verwendung von PDO -Vorverarbeitungsanweisungen werden SQL -Anweisungen von Daten getrennt, und die Benutzereingabe wird nicht direkt in SQL -Zeichenfolgen gespleißt
Die Parameterbindung ermöglicht es dem Datenbanktreiber, automatisch mit Spezialzeichen zu entkommen
Deaktivieren Sie die simulierte Vorverarbeitung und verbessern die Sicherheit durch native Vorverarbeitung
Einkapseln einer Datenbankverbindungsklasse mit einer Connect () -Funktion, der Auswahl von PDO als zugrunde liegende Verbindung und die Kombination von Vorverarbeitungsanweisungen ist eine effiziente und sichere Lösung, um die SQL -Injektion in PHP zu verhindern. Das Design dieser Klasse ist einfach und einfach zu skalieren und kann die meisten Geschäftsanforderungen erfüllen und eine empfohlene Praxis für die moderne PHP -Entwicklung.
